2. 程式人生 > >Django-Rest frameworw認證和許可權

Django-Rest frameworw認證和許可權

阿新 發佈:2019-01-24

一、認證已封裝好的類

	from rest_framework.authentication import BaseAuthentication
	class BaseAuthentication(object):
		def authenticate(self, request):
			#三種返回結果
			1、 return (user,auth) #當前認證處理後,認證環節結束,不在執行後面的認證了
			2、 return None  #不處理,讓後面認證處理
			3、 raise  raise #exceptions.AuthenticationFailed("使用者認證失敗")


		def authenticate_header(self, request):
			# 驗證失敗時,返回的響應頭WWW-Authenticate對應的值
			pass

	class BasicAuthentication(BaseAuthentication):
		'請求頭認證'
		pass

	class SessionAuthentication(BaseAuthentication):
		'session認證'
		pass
	class TokenAuthentication(BaseAuthentication):
		'token認證,' 
		pass

二、許可權已封裝好的類

from rest_framework.permissions import BasePermission
class BasePermission(object):
	

	message = "許可權驗證失敗" #定製驗證的錯誤資訊

	def has_permission(self, request, view):
		'判斷是否有許可權訪問當前請求'
		return True #/ False

	# GenericAPIView中get_object時呼叫
	def has_object_permission(self, request, view, obj):
		'檢視繼承GenericAPIView,並在其中使用get_object時獲取物件時,觸發單獨物件許可權驗證'
		return True # / False

class AllowAny(BasePermission):
	'任何人都能訪問,和沒設定一樣'
	def has_permission(self, request, view):
	return True

class IsAuthenticated(BasePermission):
	'登入後,才能訪問'
	def has_permission(self, request, view):
    return request.user and request.user.is_authenticated

class IsAdminUser(BasePermission):
	'只允許,admin使用者訪問'

class IsAuthenticatedOrReadOnly(BasePermission):
	'登入後,請求方式允許(get , put) 才能訪問 '

class DjangoModelPermissions(BasePermission):
	'不清楚'

1、def authenticate_header(self, request): #作用


生成這樣的登入介面(瀏覽器自帶的登入介面)


三、認證示例展示

============*****============

        1、使用者url傳入的token認證     #區域性 或 全域性類使用

        2、請求頭認證

        3. 多個認證規則

        4.認證和許可權

============*****============

   1、使用者url傳入的token認證

in url.py
	from django.conf.urls import url, include
	from web.viewsimport TestView

	urlpatterns = [
		url(r'^test/', TestView.as_view()),
	]


in view.py
	from rest_framework.views import APIView
	from rest_framework.response import Response
	from rest_framework.authentication import BaseAuthentication
	from rest_framework.request import Request
	from rest_framework import exceptions

	token_list = [
	    'sfsfss123kuf3j123',
	    'asijnfowerkkf9812',
	]


	class TestAuthentication(BaseAuthentication):
	    def authenticate(self, request):
	        """
	        使用者認證,如果驗證成功後返回元組: (使用者,使用者Token)
	        :param request: 
	        :return: 
	            None,表示跳過該驗證;
	                如果跳過了所有認證,預設使用者和Token和使用配置檔案進行設定
	                self._authenticator = None
	                if api_settings.UNAUTHENTICATED_USER:
	                    self.user = api_settings.UNAUTHENTICATED_USER()
	                else:
	                    self.user = None
	        
	                if api_settings.UNAUTHENTICATED_TOKEN:
	                    self.auth = api_settings.UNAUTHENTICATED_TOKEN()
	                else:
	                    self.auth = None
	            (user,token)表示驗證通過並設定使用者名稱和Token;
	            AuthenticationFailed異常
	        """
	        val = request.query_params.get('token')
	        if val not in token_list:
	            raise exceptions.AuthenticationFailed("使用者認證失敗")

	        return ('登入使用者', '使用者token')

	    def authenticate_header(self, request):
	        """
	        Return a string to be used as the value of the `WWW-Authenticate`
	        header in a `401 Unauthenticated` response, or `None` if the
	        authentication scheme should return `403 Permission Denied` responses.
	        """
	        # 驗證失敗時,返回的響應頭WWW-Authenticate對應的值
	        pass

	方式一:定義區域性類(認證、許可權等)
		class TestView(APIView):
		    authentication_classes = [TestAuthentication, ]
		    permission_classes = []

		    def get(self, request, *args, **kwargs):
		        print(request.user)
		        print(request.auth)
		        return Response('GET請求,響應內容')

		    def post(self, request, *args, **kwargs):
		        return Response('POST請求,響應內容')

		    def put(self, request, *args, **kwargs):
		        return Response('PUT請求,響應內容')


	方式二:(推薦)在使用區域性類 ,或者TestView不想使用全域性的類(認證、許可權等)

		class MyTokenAuthentication(object):
			authentication_classes = [TestAuthentication, ] 
			permission_classes = []

		class TestView(MyTokenAuthentication,APIView): #MyTokenAuthentication 要放在前面,
						#否則authentication_classes 就從全域性(settings)裡找

		    def get(self, request, *args, **kwargs):
		        print(request.user)
		        print(request.auth)
		        return Response('GET請求,響應內容')

		    def post(self, request, *args, **kwargs):
		        return Response('POST請求,響應內容')

		    def put(self, request, *args, **kwargs):
		        return Response('PUT請求,響應內容')
    2、請求頭認證
in url.py
	from django.conf.urls import url, include
	from web.viewsimport TestView

	urlpatterns = [
		url(r'^test/', TestView.as_view()),
	]

in view.py
	#!/usr/bin/env python
	# -*- coding:utf-8 -*-
	from rest_framework.views import APIView
	from rest_framework.response import Response
	from rest_framework.authentication import BaseAuthentication
	from rest_framework.request import Request
	from rest_framework import exceptions

	token_list = [
	    'sfsfss123kuf3j123',
	    'asijnfowerkkf9812',
	]


	class TestAuthentication(BaseAuthentication):
	    def authenticate(self, request):
	        """
	        使用者認證,如果驗證成功後返回元組: (使用者,使用者Token)
	        :param request: 
	        :return: 
	            None,表示跳過該驗證;
	                如果跳過了所有認證,預設使用者和Token和使用配置檔案進行設定
	                self._authenticator = None
	                if api_settings.UNAUTHENTICATED_USER:
	                    self.user = api_settings.UNAUTHENTICATED_USER()
	                else:
	                    self.user = None
	        
	                if api_settings.UNAUTHENTICATED_TOKEN:
	                    self.auth = api_settings.UNAUTHENTICATED_TOKEN()
	                else:
	                    self.auth = None
	            (user,token)表示驗證通過並設定使用者名稱和Token;
	            AuthenticationFailed異常
	        """
	        import base64
	        auth = request.META.get('HTTP_AUTHORIZATION', b'')
	        if auth:
	            auth = auth.encode('utf-8')
	        auth = auth.split()
	        if not auth or auth[0].lower() != b'basic':
	            raise exceptions.AuthenticationFailed('驗證失敗')
	        if len(auth) != 2:
	            raise exceptions.AuthenticationFailed('驗證失敗')
	        username, part, password = base64.b64decode(auth[1]).decode('utf-8').partition(':') # partition 切割和split類似,
	        if username == 'alex' and password == '123':                      # 但 'xxx:yyy'.partition(":") = ['xxx',':','yyy']
	            return ('登入使用者', '使用者token')
	        else:
	            raise exceptions.AuthenticationFailed('使用者名稱或密碼錯誤')

	    def authenticate_header(self, request):
	        """
	        Return a string to be used as the value of the `WWW-Authenticate`
	        header in a `401 Unauthenticated` response, or `None` if the
	        authentication scheme should return `403 Permission Denied` responses.
	        """
	        return 'Basic realm=api'


	class TestView(APIView): # 關注  1、使用者url傳入的token認證 的TestView使用
	    authentication_classes = [TestAuthentication, ] 
	    permission_classes = []

	    def get(self, request, *args, **kwargs):
	        print(request.user)
	        print(request.auth)
	        return Response('GET請求,響應內容')

	    def post(self, request, *args, **kwargs):
	        return Response('POST請求,響應內容')

	    def put(self, request, *args, **kwargs):
	        return Response('PUT請求,響應內容')
3. 多個認證規則
in url.py
	from django.conf.urls import url, include
	from web.views.s2_auth import TestView

	urlpatterns = [
	    url(r'^test/', TestView.as_view()),
	]

in view.py
	#!/usr/bin/env python
	# -*- coding:utf-8 -*-
	from rest_framework.views import APIView
	from rest_framework.response import Response
	from rest_framework.authentication import BaseAuthentication
	from rest_framework.request import Request
	from rest_framework import exceptions

	token_list = [
	    'sfsfss123kuf3j123',
	    'asijnfowerkkf9812',
	]


	class Test1Authentication(BaseAuthentication):
	    def authenticate(self, request):
	        """
	        使用者認證,如果驗證成功後返回元組: (使用者,使用者Token)
	        :param request: 
	        :return: 
	            None,表示跳過該驗證;
	                如果跳過了所有認證,預設使用者和Token和使用配置檔案進行設定
	                self._authenticator = None
	                if api_settings.UNAUTHENTICATED_USER:
	                    self.user = api_settings.UNAUTHENTICATED_USER() # 預設值為:匿名使用者
	                else:
	                    self.user = None

	                if api_settings.UNAUTHENTICATED_TOKEN:
	                    self.auth = api_settings.UNAUTHENTICATED_TOKEN()# 預設值為:None
	                else:
	                    self.auth = None
	            (user,token)表示驗證通過並設定使用者名稱和Token;
	            AuthenticationFailed異常
	        """
	        import base64
	        auth = request.META.get('HTTP_AUTHORIZATION', b'')
	        if auth:
	            auth = auth.encode('utf-8')
	        else:
	            return None
	        print(auth,'xxxx')
	        auth = auth.split()
	        if not auth or auth[0].lower() != b'basic':
	            raise exceptions.AuthenticationFailed('驗證失敗')
	        if len(auth) != 2:
	            raise exceptions.AuthenticationFailed('驗證失敗')
	        username, part, password = base64.b64decode(auth[1]).decode('utf-8').partition(':')
	        if username == 'alex' and password == '123':
	            return ('登入使用者', '使用者token')
	        else:
	            raise exceptions.AuthenticationFailed('使用者名稱或密碼錯誤')

	    def authenticate_header(self, request):
	        """
	        Return a string to be used as the value of the `WWW-Authenticate`
	        header in a `401 Unauthenticated` response, or `None` if the
	        authentication scheme should return `403 Permission Denied` responses.
	        """
	        # return 'Basic realm=api'
	        pass

	class Test2Authentication(BaseAuthentication):
	    def authenticate(self, request):
	        """
	        使用者認證,如果驗證成功後返回元組: (使用者,使用者Token)
	        :param request: 
	        :return: 
	            None,表示跳過該驗證;
	                如果跳過了所有認證,預設使用者和Token和使用配置檔案進行設定
	                self._authenticator = None
	                if api_settings.UNAUTHENTICATED_USER:
	                    self.user = api_settings.UNAUTHENTICATED_USER() # 預設值為:匿名使用者
	                else:
	                    self.user = None
	        
	                if api_settings.UNAUTHENTICATED_TOKEN:
	                    self.auth = api_settings.UNAUTHENTICATED_TOKEN()# 預設值為:None
	                else:
	                    self.auth = None
	            (user,token)表示驗證通過並設定使用者名稱和Token;
	            AuthenticationFailed異常
	        """
	        val = request.query_params.get('token')
	        if val not in token_list:
	            raise exceptions.AuthenticationFailed("使用者認證失敗")

	        return ('登入使用者', '使用者token')

	    def authenticate_header(self, request):
	        """
	        Return a string to be used as the value of the `WWW-Authenticate`
	        header in a `401 Unauthenticated` response, or `None` if the
	        authentication scheme should return `403 Permission Denied` responses.
	        """
	        pass


	class TestView(APIView):
	    authentication_classes = [Test1Authentication, Test2Authentication]  # 某個認證處理完就結束了,之後的認證失效
	    permission_classes = [] # 許可權是每個類都要經過




	    def get(self, request, *args, **kwargs):
	        print(request.user)
	        print(request.auth)
	        return Response('GET請求,響應內容')

	    def post(self, request, *args, **kwargs):
	        return Response('POST請求,響應內容')

	    def put(self, request, *args, **kwargs):
	        return Response('PUT請求,響應內容')

4.認證和許可權

in url.py
	from django.conf.urls import url, include
	from web.views import TestView

	urlpatterns = [
	    url(r'^test/', TestView.as_view()),
	]

in view.py
	#!/usr/bin/env python
	# -*- coding:utf-8 -*-
	from rest_framework.views import APIView
	from rest_framework.response import Response
	from rest_framework.authentication import BaseAuthentication
	from rest_framework.permissions import BasePermission

	from rest_framework.request import Request
	from rest_framework import exceptions

	token_list = [
	    'sfsfss123kuf3j123',
	    'asijnfowerkkf9812',
	]


	class TestAuthentication(BaseAuthentication):
	    def authenticate(self, request):
	        """
	        使用者認證,如果驗證成功後返回元組: (使用者,使用者Token)
	        :param request: 
	        :return: 
	            None,表示跳過該驗證;
	                如果跳過了所有認證,預設使用者和Token和使用配置檔案進行設定
	                self._authenticator = None
	                if api_settings.UNAUTHENTICATED_USER:
	                    self.user = api_settings.UNAUTHENTICATED_USER() # 預設值為:匿名使用者
	                else:
	                    self.user = None
	        
	                if api_settings.UNAUTHENTICATED_TOKEN:
	                    self.auth = api_settings.UNAUTHENTICATED_TOKEN()# 預設值為:None
	                else:
	                    self.auth = None
	            (user,token)表示驗證通過並設定使用者名稱和Token;
	            AuthenticationFailed異常
	        """
	        val = request.query_params.get('token')
	        if val not in token_list:
	            raise exceptions.AuthenticationFailed("使用者認證失敗")

	        return ('登入使用者', '使用者token')

	    def authenticate_header(self, request):
	        """
	        Return a string to be used as the value of the `WWW-Authenticate`
	        header in a `401 Unauthenticated` response, or `None` if the
	        authentication scheme should return `403 Permission Denied` responses.
	        """
	        pass


	class TestPermission(BasePermission):
	    message = "許可權驗證失敗" # 錯誤資訊

	    def has_permission(self, request, view):
	        """
	        判斷是否有許可權訪問當前請求
	        兩種返回結果
		        return True  # 許可權驗證通過,執行下一個許可權類
		        return False # 檢測為False  然後就raise 報錯  
	        """
	        if request.user == "管理員":
	            return True

	    # GenericAPIView中get_object時呼叫
	    def has_object_permission(self, request, view, obj):
	        """
	        檢視繼承GenericAPIView,並在其中使用get_object時獲取物件時,觸發單獨物件許可權驗證
	        Return `True` if permission is granted, `False` otherwise.
	        :param request: 
	        :param view: 
	        :param obj: 
	        :return: True有許可權;False無許可權
	        """
	        if request.user == "管理員":
	            return True


	class TestView(APIView):
	    # 認證的動作是由request.user觸發
	    authentication_classes = [TestAuthentication, ]

	    # 許可權
	    # 迴圈執行所有的許可權
	    permission_classes = [TestPermission, ]

	    def get(self, request, *args, **kwargs):
	        # self.dispatch
	        print(request.user)
	        print(request.auth)
	        return Response('GET請求,響應內容')

	    def post(self, request, *args, **kwargs):
	        return Response('POST請求,響應內容')

	    def put(self, request, *args, **kwargs):
	        return Response('PUT請求,響應內容')


相關推薦

Django-Rest frameworw認證許可權

一、認證已封裝好的類 from rest_framework.authentication import BaseAuthentication class BaseAuthentication(object): def authenticate(self, reques

DRF比Django認證許可權高在哪裡

Django可以用`LoginRequiredMixin`和`PermissionRequiredMixin`給類檢視新增認證和許可權,DRF做了高階封裝,提供了更簡潔的實現方式。我們通過繼續學習官網教程來進行了解。 # 更新model 首先修改`Snippet`模型,新增2個欄位:`owner`,儲存s

Django Rest Framework 檢視路由

一、DRF的檢視 (一)APIView APIView是REST framework提供的所有檢視的基類,繼承自Django的View父類。 APIView與View的不同之處在於: 傳入到檢視方法中的是REST framework的Request物件,而不是Django的HttpRequese

檢視元件,路由元件 Django Rest Framework 檢視路由

檢視元件  -- 第一次封裝   -- GenericAPIView(APIView):    queryset = None    serializer_class = None

Django REST framework 認證

認證Authentication 可以在配置檔案中配置全域性預設的認證方案 REST_FRAMEWORK = { 'DEFAULT_AUTHENTICATION_CLASSES': ( 'rest_framework.authentication

rest-framework認證許可權元件

認證元件:   models 1 class User(models.Model): 2 username = models.CharField(max_length=32) 3 password = models.CharField(max_length=32) 4

DRF之版本控制、認證許可權元件

一、版本控制組件 1、為什麼要使用版本控制 首先我們開發專案是有多個版本的當我們專案越來越更新,版本就越來越多,我們不可能新的版本出了,以前舊的版本就不進行維護了像bootstrap有2、3、4版本的,每個版本都有它對應的url,https://v2.bootcss.com/ 、 https://v3.b

SpringBoot+shiro整合學習之登入認證許可權控制

學習任務目標 使用者必須要登陸之後才能訪問定義連結,否則跳轉到登入頁面。 對連結進行許可權控制,只有噹噹前登入使用者有這個連結訪問許可權才可以訪問,否則跳轉到指定頁面。 輸入錯誤密碼使用者名稱或則使用者被設定為靜止登入,返回相應json串資訊 匯

企業級專案|用Python進行web開發企業統一使用者認證許可權控制平臺

目前大家對Python的瞭解更多來源是資料分析、Ai、運維工具開發,在行業中使用Python進行web開發,同樣也是非常受歡迎的,例如:FaceBook,豆瓣,知乎,餓了麼等等,本文主要是介紹是利用Python進行web開發企業統一使用者認證和許可權控制平臺,提供使用者管理、認證和許可權接入的能力,

【Python web 開發】django rest framwork動態設定許可權premission

首先我們來看下我們寫的使用者usersViewSet   新建使用者,獲取使用者資訊詳情,修改使用者詳情,是共用同一個viewset,但是新建使用者是不需要 使用者token的,獲取詳情和修還使用者資訊是需要使用者的token的 但是又是共用同一個配置,那怎麼辦呢? 於是就引進了 動態化配

Laravel-使用中介軟體做使用者認證許可權管理

Laravel 中介軟體提供了一種方便的機制來過濾進入應用的 HTTP請求,例如,Laravel包含驗證使用者身份許可權的中介軟體。如果使用者沒有通過身份驗證,中介軟體會重定向到登入頁,引導使用者登入。反之,中介軟體將允許該請求繼續傳遞到應用程式。 當然,除了身份驗證以外

Spring Cloud之路:(七)SpringBoot+Shiro實現登入認證許可權管理

一、Shiro介紹 1、Shiro是什麼? Shiro是Apache下的一個開源專案,我們稱之為Apache Shiro。它是一個很易用與Java專案的的安全框架,提供了認證、授權、加密、會話管理,與 Spring Security 一樣都是做一個許可權的安全框架,但是與Spri

spring-boot(八) springboot整合shiro-登入認證許可權管理

Apache Shiro What is Apache Shiro? Apache Shiro是一個功能強大、靈活的,開源的安全框架。它可以乾淨利落地處理身份驗證、授權、企業會話管理和加密。 Apache Shiro的首要目標是易於使用和理解。安全通常很複雜,甚至讓人感到很痛苦,但是Shiro卻不是

Django-Rest frameworw之解析器

一、解析器        根據請求頭 content-type 選擇對應的解析器就請求體內容進行處理。        注意:個別特殊的值可以通過Django的request物件 request._request 來進行獲取media_type = None # applica

Django-Rest frameworw使用者訪問次數/頻率限制

一、示例展示=============******=============            1、BaseThrottle原類            2、基於使用者IP限制訪問頻率 (瞭解)            3、基於使用者IP顯示訪問頻率(利於Django快取)

SpringBoot學習:整合shiro(身份認證許可權認證),使用EhCache快取

專案下載地址:http://download.csdn.NET/detail/aqsunkai/9805821 (一)在pom.xml中新增依賴: <properties> <shiro.version>1.3.2</shiro.ve

Django-Rest frameworw之路由系統

路由系統============******============                        一、 自定義路由                        二、 半自動路由                        三、 全自動路由========

用Python建設企業認證許可權控制平臺

目前大家對Python的瞭解更多來源是資料分析、AI、運維工具開發,在行業中使用Python進行web開發,同樣也是非常受歡迎的,例如:FaceBook,豆瓣,知乎,餓了麼等等,本文主要是介紹是利用Python進行web開發企業統一使用者認證和許可權控制平臺,提供使用者管理

shiro實現APP、web統一登入認證許可權管理

轉自:http://www.cnblogs.com/sunshine-2015/p/5515429.html 先說下背景,專案包含一個管理系統(web)和入口網站(web),還有一個手機APP(包括Android和IOS),三個系統共用一個後端,在後端使用shiro進行

Django REST framework - 認證

憑據 設置 except token time 嘗試 failed Coding 身份驗證 目錄 認證 DRF 5種驗證方式 如何確定身份驗證? 設置身份驗證方案